日前舉行的第三屆中國網(wǎng)絡安全大會上，中國工程院院士倪光南呼吁加強網(wǎng)絡安全相關的評測認證，加強并完善信息安全等級保護工作，實行自主可控的評估標準，從知識產(chǎn)權、能力、發(fā)展條件、供應鏈、“國產(chǎn)”資質(zhì)等五個方面對自主可控程度進行評估。

來源：賽凡科技　　
      倪光南表示，產(chǎn)品和服務等自主可控，基本上可保證不存在惡意后門并能不斷地對其進行改進或修補漏洞。反之，如果產(chǎn)品和服務等不能自主可控，就意味著受制于人。其后果是，這些產(chǎn)品或服務可能會存在惡意后門，難以不斷地對其改進或修補漏洞，信息安全難以治理。

　　倪光南建議從以下五個方面對自主可控程度進行評估：

　　1、知識產(chǎn)權（包括標準）自主可控

　　在當前的國際競爭格局下，知識產(chǎn)權自主可控十分重要，做不到這一點就一定會受制于人。如果所有知識產(chǎn)權都能自己掌握當然最好，但實際上不一定能。這時，如果部分知識產(chǎn)權能完全買斷，或能買到有足夠自主權的授權，也能滿足自主可控。如果只能買到自主權不夠充分的授權，例如某項授權在權利的使用期限、使用方式等方面具有明顯的限制，就不能達到知識產(chǎn)權自主可控。

　　目前國家一些計劃對所支持的項目，要求首先通過知識產(chǎn)權風險評估，才能給予立項，這種做法是正確的、必要的。標準的自主可控似可歸入這一范疇。

　　2、能力自主可控

　　能力自主可控，主要指技術能力的自主可控。這意味著要有足夠規(guī)模的、能真正掌握該技術的科技隊伍。

　　技術能力可以分為一般技術能力、產(chǎn)業(yè)化能力、構建產(chǎn)業(yè)鏈能力和構建產(chǎn)業(yè)生態(tài)系統(tǒng)能力等層次。產(chǎn)業(yè)化能力的自主可控要求使技術不能停留在樣品或試驗階段，而應能轉化為大規(guī)模的產(chǎn)品和服務。產(chǎn)業(yè)鏈的自主可控要求在實現(xiàn)產(chǎn)業(yè)化的基礎上，圍繞產(chǎn)品和服務，構建一個比較完整的產(chǎn)業(yè)鏈，以便不受產(chǎn)業(yè)鏈上下游的制約，具備足夠的競爭力。產(chǎn)業(yè)生態(tài)系統(tǒng)的自主可控要求能營造一個支撐該產(chǎn)業(yè)鏈的生態(tài)系統(tǒng)。

　　3、發(fā)展自主可控

　　除了知識產(chǎn)權和能力的自主可控，還需要有發(fā)展的自主可控。因為我們不但要著眼于現(xiàn)在，還要求在今后相當長的時期里，相關技術和產(chǎn)業(yè)都能不受制約地發(fā)展。

　　倪光南表示，根據(jù)我國具體情況，要著眼國家安全和長遠發(fā)展，制訂信息核心技術設備的發(fā)展戰(zhàn)略。如果某些技術在短期內(nèi)似乎能自主可控，但長期看做不到自主可控，一般說來是不可取的。只顧眼前利益，有可能會在以后造成更大的被動。

　　4、供應鏈自主可控

　　一個產(chǎn)品的供應鏈可能很長，如果其中的一個或某些環(huán)節(jié)不能自主可控，也就不能滿足自主可控要求。

　　倪光南特別舉了“國產(chǎn)CPU”的例子，以證明供應鏈自主可控的重要性。對復雜的CPU芯片來說，即使擁有知識產(chǎn)權，也有技術能力掌握，做到在設計方面不受制于人，但如需依賴外國才能進行生產(chǎn)，倪光南認為這樣的情況仍然達不到自主可控的要求。

　　所以，應當評估一個產(chǎn)品的供應鏈是否能完全掌控。像上述復雜的CPU芯片，如果必須依賴外國進行生產(chǎn)加工，就不能滿足自主可控的要求。如果能夠依靠本國廠商生產(chǎn)出來，即使性能指標略低一些，還是可以容許的。

　　5、具備“國產(chǎn)”資質(zhì)

　　一般來說，“國產(chǎn)”產(chǎn)品和服務容易符合自主可控要求，因此實行國產(chǎn)替代對于達到自主可控是完全必要的。不過，現(xiàn)在對于“國產(chǎn)”還沒有統(tǒng)一的評估標準。

　　倪光南稱，過去有人提出的某些評估標準是不合適的。例如，認為只要公司在中國注冊、交稅，就是“中國公司”，它的產(chǎn)品和服務就是“國產(chǎn)”；或認為“本國產(chǎn)品是指在中國關境內(nèi)生產(chǎn)，且國內(nèi)生產(chǎn)成本比例超過50%的最終產(chǎn)品”。這里，突出“生產(chǎn)成本”完全不適用于高技術領域。

　　眾所周知，高技術產(chǎn)品和服務的成本主要是開發(fā)成本、智力成本，生產(chǎn)成本甚至可以忽略不計，這種“生產(chǎn)成本”準則是幫進口高技術產(chǎn)品的忙，因為它們只要用中國原材料做個包裝，就可以搖身一變成為“國貨”了。

　　美國國會在1933年通過的《購買美國產(chǎn)品法》，要求聯(lián)邦政府采購要買本國產(chǎn)品，即在美國生產(chǎn)的、增值達到50%以上的產(chǎn)品，進口件組裝的不算本國產(chǎn)品。美國采用上述“增值”準則來評估“國產(chǎn)”，比較合理。這方面我們理應學習發(fā)達國家行之有效的做法。

　　現(xiàn)在人們大多根據(jù)產(chǎn)品和服務提供者資本構成的“資質(zhì)”進行評估?？疾熨Y質(zhì)是必要的，但除此以外，還應采用“增值”準則對“國產(chǎn)化程度”加以評估。如果某項產(chǎn)品和服務在中國的增值很小，意味著它可能就是從國外進口的，達不到自主可控的要求。如進口硬件可能通過“貼牌”、“組裝”變成“國產(chǎn)”，進口軟件和服務可能通過“集成”變成“國產(chǎn)解決方案”的一部分。如果實行“增值”估算，這類“假國產(chǎn)”就難以立足。倪光南建議有關方面盡快出臺合理的“國產(chǎn)”評估準則。